+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

2 WAN интерфейса: Заставляем WAN-пинг идти "наружу".

2 WAN интерфейса: Заставляем WAN-пинг идти "наружу"., RouterOS

Toby7

Guest

03.01.2014 16:23:00

Привет всем, у меня настроено два WAN-соединения. У каждого подсети свой WAN-интерфейс. PPPoE-TelekomDSL WAN-интерфейс – это PPPoE-соединение от центрального роутера RB750GL. Это WAN-интерфейс для подсети Telekom. Второй WAN-интерфейс – это шлюзовой роутер (192.168.0.240), который сам устанавливает PPPoE-соединение. Шлюзовой роутер находится во второй подсети и не подключен напрямую к центральному роутеру. Обе подсети могут выходить в интернет через свое WAN-соединение. Теперь я хочу проанализировать свою настройку файрвола на mikrotik PPPoE-соединении. Поэтому я делаю nmap-сканирование из подсети 192.168.0.0/24 на WAN-IP PPPoE-TelekomDSL-соединения. Это работает, но пакеты идут напрямую от RB750GL к PPPoE-соединению. Я хотел бы, чтобы они выходили через шлюз 192.168.0.240, а затем входили в мою сеть через ISP Telekom. Чтобы я мог имитировать нормальный способ атаки. По моему мнению, динамический маршрут — это проблема, так как он указывает пакетам идти самым коротким путем?!
9 ADC dst-address=..... pref-src=.....
gateway=PPPoE-TelekomDSL gateway-status=PPPoE-TelekomDSL reachable
distance=0 scope=10 Спасибо за вашу помощь! Тоби.

OwenITGuy

Guest

04.01.2014 15:07:00

Прости, если мое предыдущее сообщение появилось. Я его удалил, потому что после повторного прочтения твоего поста понял, что это не то решение, которое тебе нужно. Здесь возникает небольшая сложность, поскольку, я полагаю, ты не хочешь перенаправлять ВЕСЬ трафик из сети Telekom через второго провайдера. Я бы посоветовал создать необходимые правила, чтобы перенаправлять только IP-адрес компьютера, который ты используешь для nmap, через второго провайдера, и включать эти правила только когда это необходимо. Допустим, 192.168.128.100 – это твой тестовый компьютер, а 10.10.10.10 – твой публичный IP. Можешь попробовать вот что: /ip firewall mangle add chain=prerouting src-address=192.168.128.100 dst-address=10.10.10.10 action=mark-routing new-routing-mark=nmaptest

/ip route add dst-address=10.10.10.10 routing-mark=nmaptest gateway=192.168.0.240 Первая команда создает правило mangle, которое перехватывает любой трафик с твоего тестового компьютера, направленный на публичный IP-адрес, и добавляет маршрутизационную метку. Вторая команда создает запись в таблице маршрутизации, которая соответствует пункту назначения – публичный IP-адрес и маршрутизационную метку. Это должно отправлять трафик с твоего тестового компьютера через второго провайдера.

Toby7

Guest

05.01.2014 15:10:00

Кажется, правила mangle работают как положено, вижу, счетчик увеличивается. Но всё равно виден только один hop до целевого IP. Маршрут добавлен в правильную таблицу. Сейчас, если я отключу этот маршрут, результат останется прежним. Похоже, маршрутизация не работает… Но если я установить routing mark для этих пакетов, то для них будет валидна только таблица маршрутизации 'table_PenetrationTesting'. Получается, отсутствие маршрута в этой таблице должно приводить к ошибке недостижимости?! В таком случае, все остальные таблицы игнорируются, я так думаю…

Mangle rule: 0 chain=prerouting action=mark-routing
new-routing-mark=table_PenetrationTesting passthrough=no
src-address-list=addressList_PenetrationTesting
dst-address-list=addressList_WANIPTelekom

Route: 0 A S dst-address=x.x.x.x/32 gateway=192.168.0.240
gateway-status=192.168.0.240 reachable via ether2_homenet distance=1
scope=30 target-scope=10 routing-mark=table_PenetrationTesting

Toby7 Guest	#4 0 14.01.2014 22:07:00 В последнее время я снова задумался об этой проблеме. Похоже, это какая-то особенность привилегий. Потому что pppoe-соединение создаёт DAC-маршрут, и этот DAC-маршрут всегда приоритетнее, через него можно достучаться до целевого IP (целевой IP — внешний видимый IP из pppoe-соединения). Даже метки маршрутизации, кажется, игнорируются. Это объясняет, почему целевой IP отвечает на пинги, даже если в таблице маршрутизации нет записи для метки маршрутизации… Буду очень благодарен за помощь.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры